Compartilhar via

Classificação de alertas para alerta de roubo de cookies de sessão

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Este artigo contém informações sobre a classificação de alertas para alertas de roubo de Cookies de Sessão no Microsoft Defender XDR:

  • Foi utilizado um cookie de sessão roubado
  • Pedido de autenticação da página de phishing relacionada com a AiTM

Os atores de ameaças usam formas inovadoras de se infiltrarem nos seus ambientes-alvo. Inspirando-se em ataques Adversário no Meio, este tipo de ataque utiliza phishing para roubar credenciais ou a sua sessão de início de sessão para realizar ações maliciosas. As campanhas BEC são um excelente exemplo.

Este ataque funciona através da configuração de um site intermédio (phishing), funcionando efetivamente como uma ligação proxy entre o utilizador e o site legítimo que o atacante está a representar. Ao agir como intermediário (proxy), o atacante é capaz de roubar a palavra-passe do destino e o cookie de sessão. Por conseguinte, o atacante pode autenticar-se numa sessão legítima, uma vez que está a autenticar-se em nome do utilizador.

Este manual de procedimentos ajuda a investigar casos em que se observa um comportamento suspeito indicativo de um tipo de ataque De ataque no meio (AiTM) por roubo de cookies. Isto ajuda as equipas de segurança, como o centro de operações de segurança (SOC) e os administradores de TI, a rever, gerir e classificar os alertas como Verdadeiro Positivo (TP) ou Falso Positivo (FP) e, se for TP, tomar medidas recomendadas para remediar o ataque e mitigar os riscos de segurança resultantes por causa do mesmo.

Os resultados da utilização deste manual de procedimentos são:

  • Identificou os alertas associados ao AiTM como atividades maliciosas (TP) ou benignas (FP).
  • Se for identificado como malicioso, tomou as medidas necessárias para remediar o ataque.

Passos de investigação

  1. Investigue se o utilizador afetado acionou outros alertas de segurança.

    • Concentre-se nos alertas baseados em anomalias de localização geográfica para inícios de sessão [AadSignInEventsBeta or IdentityLogonEvents].
    • Investigue se há eventos de início de sessão relevantes ao ver as informações [AadSignInEventsBeta]do ID da Sessão.
      • Procure eventos associados ao ID de sessão identificado (roubado) para rastrear atividades realizadas com o cookie [CloudAppEvents]roubado.
      • Procure uma diferença temporal entre as atividades de início de sessão em que existe uma diferença na localização geográfica. Várias sessões não devem ser possíveis para a mesma conta com localizações diferentes (indicando que a sessão pode ser roubada).
    • Verifique se existem alertas gerados para a conta do anfitrião empresarial.
      • Se a conta estiver comprometida, poderão existir alertas que precederam o compromisso que indica ataques, por exemplo, alertas [NetworkConnectionEvents]SmartScreen.

  2. Investigar comportamentos suspeitos.

    • Procure eventos que indiquem padrões invulgares para identificar padrões [CloudAppEvents] suspeitos, como propriedades incomuns para Utilizadores como ISP/País/Cidade, etc.
    • Procure eventos que indiquem atividades novas ou não vistas, como tentativas de início de sessão [êxito/falha] em serviços novos ou nunca antes utilizados, um aumento da atividade de acesso ao correio, uma alteração na utilização de recursos do Azure, etc.
    • Inspecione quaisquer modificações recentes no seu ambiente a partir de:
      • Aplicações do Office 365 (como alterações de permissões do Exchange Online, reencaminhamento automático de correio ou redirecionamento)
      • PowerApps (como configurar a transmissão de dados automatizada através do PowerAutomate)
      • Ambientes do Azure (por exemplo, modificações da subscrição do portal do Azure, etc.)
      • SharePoint Online (acesso a vários sites ou ficheiros que tenham conteúdo confidencial, como informações de credenciais ou demonstrações financeiras), etc.)
    • Inspecione as operações observadas em várias plataformas (EXO, SPO, Azure, etc.) num curto espaço de tempo para o utilizador afetado.
      • Por exemplo, as linhas cronológicas para eventos de auditoria de operações de leitura/envio de correio e alocação/modificações de recursos do Azure (aprovisionamento ou adição de novos computadores ao Microsoft Entra ID) não devem coincidir entre si.

  3. Investigue possíveis ataques de seguimento. Os ataques do AiTM são geralmente um meio-para-um-ponto e não o final, por isso, inspecione o seu ambiente quanto a outros ataques que se seguem para as contas afetadas.

    • Um exemplo seria analisar casos de BEC
      • Procure atividades de pesquisa vistas na caixa [CloudAppEvents]de correio da conta de utilizador alertada .
        • As atividades de pesquisa na caixa de correio podem ter palavras-chave observadas em fraude financeira (por exemplo, faturas, pagamentos, etc.), que são suspeitas.
        • Procure também regras de caixa de entrada criadas com a intenção de mover e marcar como lidas (algo ao longo das linhas de ActionType em (New-InboxRule, UpdateInboxRules, Set-InboxRule) e RawEventData has_all (MarkAsRead, MoveToFolder, Archive)).
    • Procure eventos de fluxo de correio [EmailEvents & EmailUrlInfo em NetworkMessageId] para onde os múltiplos e-mails são enviados com o mesmo URL.
      • Acompanhe a inspeção se é observado [CloudAppEvents] um aumento ou um elevado volume de eliminação de correio (ActivityType como Lixo ou Eliminação) para a conta da caixa de correio.
      • O comportamento correspondente pode ser considerado altamente suspeito.
    • Examine eventos de dispositivos para eventos de URL que correspondam a eventos de clique para [DeviceEvents on AccountName|AccountUpn] e-mails do Office 365.
      • Corresponder os eventos de origens de cliques (por exemplo, endereços IP diferentes para o mesmo URL) pode ser uma indicação de comportamento malicioso.

Consultas de investigação avançadas

A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite inspecionar eventos na sua rede e localizar indicadores de ameaças. Utilize estas consultas para recolher mais informações relacionadas com o alerta e determinar se a atividade é suspeita.

Certifique-se de que tem acesso às seguintes tabelas:

  • AadSignInEventsBeta - contém informações de início de sessão para os utilizadores.
  • IdentityLogonEvents - contém informações de início de sessão para os utilizadores.
  • CloudAppEvents - contém registos de auditoria de atividades do utilizador.
  • EmailEvents - contém informações de fluxo de correio/tráfego.
  • EmailUrlInfo - contém informações de URL contidas em e-mails.
  • UrlClickEvents - contém registos de cliques de URL para URLs que foram clicados nos e-mails.
  • DeviceEvents - contém eventos de auditoria de atividade do dispositivo.

Utilize a consulta abaixo para identificar o comportamento de início de sessão suspeito:

let OfficeHomeSessionIds = 
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ErrorCode == 0
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize arg_min(Timestamp, Country) by SessionId;
AADSignInEventsBeta
| where Timestamp > ago(1d)
| where ApplicationId != "4765445b-32c6-49b0-83e6-1d93765276ca"
| where ClientAppUsed == "Browser" 
| project OtherTimestamp = Timestamp, Application, ApplicationId, AccountObjectId, AccountDisplayName, OtherCountry = Country, SessionId
| join OfficeHomeSessionIds on SessionId
| where OtherTimestamp > Timestamp and OtherCountry != Country

Utilize a consulta abaixo para identificar países/regiões incomuns:

AADSignInEventsBeta 
| where Timestamp > ago(7d) 
| where ApplicationId == "4765445b-32c6-49b0-83e6-1d93765276ca" //OfficeHome application 
| where ClientAppUsed == "Browser" 
| where LogonType has "interactiveUser" 
| summarize Countries = make_set(Country) by AccountObjectId, AccountDisplayName

Utilize esta consulta para localizar novas regras de Caixa de Entrada de e-mail criadas durante uma sessão de início de sessão suspeita:

//Find suspicious tokens tagged by AAD "Anomalous Token" alert
let suspiciousSessionIds = materialize(
AlertInfo
| where Timestamp > ago(7d)
| where Title == "Anomalous Token"
| join (AlertEvidence | where Timestamp > ago(7d) | where EntityType == "CloudLogonSession") on AlertId
| project sessionId = todynamic(AdditionalFields).SessionId);
//Find Inbox rules created during a session that used the anomalous token
let hasSuspiciousSessionIds = isnotempty(toscalar(suspiciousSessionIds));
CloudAppEvents
| where hasSuspiciousSessionIds
| where Timestamp > ago(21d)
| where ActionType == "New-InboxRule"
| where RawEventData.SessionId in (suspiciousSessionIds)

Depois de determinar que as atividades de alerta são maliciosas, classifique esses alertas como Verdadeiro Positivo (TP) e execute as seguintes ações:

  • Reponha as credenciais da conta do utilizador. Além disso, desative/revogue tokens para a conta comprometida.
  • Se os artefactos encontrados estiverem relacionados com o e-mail, configure o bloco com base no endereço IP do remetente e nos domínios do Remetente.
    • Os domínios que estão agachados por digitação podem limpar políticas DMARC, DKIM, SPF (uma vez que o domínio é completamente diferente) ou podem devolver "resultados nulos (uma vez que provavelmente não está configurado pelo ator de ameaças).
  • Bloquear URLs ou endereços IP (nas plataformas de proteção de rede) que foram identificados como maliciosos durante a investigação.

Confira também

De roubo de cookies a BEC

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.